Asemănări între Duqu şi Stuxnet şi un nou tip de malware pentru Mac

Kaspersky Lab a realizat raportul privind evoluţia malware-ului în luna noiembrie 2011. Troianul Duqu a fost iarăşi în centrul atenţiei, iar recentele analize relevă o nouă asemănare cu viermele Stuxnet – pentru a lansa atacuri, ambele programe periculoase utilizau vulnerabilităţi software necunoscute până în prezent.

Experţii Kaspersky Lab au ajuns la concluzia că principalul scop al lui Duqu este să colecteze informaţii despre companii şi agenţii guvernamentale iraniene. În plus, a fost confirmat faptul că, în 2007 – 2008, au existat variante ale troianului Duqu şi că viermele Stuxnet a fost creat pe baza unei platforme utilizate pentru acest troian.

Luna trecută a fost înregistrat şi primul caz de troieni originari din America Latină, care utilizează steganografia în fişierele de tip imagine. Familia de troieni a vizat clienţi ai băncilor braziliene. Această tehnică le-a permis creatorilor virusului să împuşte mai mulţi iepuri dintr-un singur foc.

„În primul rând, această tehnică poate determina sistemele automate de analiză a malware-lui să funcţioneze incorect – programele antivirus operează analize care nu detectează nicio ameninţare şi, în timp, link-ul respectiv nu mai este verificat deloc”, a explicat Dimitry Bestuzhev, Head of Kaspersky Lab’s Global Research and Analysis Team for Latin America. „În al doilea rând, administratorii site-urilor unde sunt găzduite fişierele corupte nu le vor vedea ca fiind corupte şi nu vor lua nicio măsură pentru a le neutraliza. În al treilea rând, e posibil ca unii specialişti în malware să nu aibă cunoştinţele sau disponibilitatea pentru a se ocupa de ele. Toţi aceşti factori deservesc scopurile infractorilor cibernetici”, a încheiat Bestuzhev.

Utilizatorii de Mac sunt din ce în ce mai afectaţi de efectele programelor periculoase, răspândite prin intermediul software-ului piratat şi disponibil pe tracker-ele de torrente. De exemplu Backdoor.OSX.Miner, recent identificat, are mai multe funcţii: stabileşte accesul de la distanţă la un computer infectat, colectează informaţii despre istoricul de browsing în Safari, face capturi de ecran, sustrage fişierul wallet.dat al clienţilor BitCoin şi iniţiază operaţiuni de data mining pentru BitCoin, fără permisiunea utilizatorului. Acest program malware este răspândit prin intermediul mai multor tracker-e de torrente, inclusiv publicbt.com, openbittorrent.com şi trepiratebay.org.
La mijlocul lunii iulie, expeditorii de SMS-uri cu caracter pronografic vizau utilizatori din SUA, Malaezia, Olanda, Marea Britanie, Kenya şi Africa de Sud. Aplicaţiile îi abonau în mod automat pe utilizatori la o serie de servicii cu tarife foarte mari cu promisiunea de a le trimite fotografii cu caracter vulgar, care avea ca rezultat golirea contului de mobil al utilizatorului. Această problemă a evoluat, acum fiind vizaţi utilizatori din mai multe ţări europene şi din Canada, care primesc troieni prin SMS.

În luna noiembrie, încă o companie emitentă de certificate digitale – KPN – a anunţat că a fost victima hacker-ilor şi a fost nevoită să-şi sisteze activitatea. Breşa de securitate a fost descoperită pe un server al companiei, care era utilizat şi de către Public Key Infrastructure (PKI). Atacul are o vechime de nu mai puţin de 4 ani, ceea ce ridică întrebări legate de modul în care un DDoS a rămas nedetectat atât de mult timp. Ca şi DigiNotar, KPN este autorizată să emită certificate speciale pentru guvernul olandez şi pentru autorităţile statului. De altfel, multe organizaţii afectate de incidentul DigiNotar au recurs la certificatele KPN.

Compania malaeziană Digicert a fost implicată, însă, într-un incident de o anvergură mult mai mare. Aceasta a fost exclusă din lista de autorităţi de încredere de către toţi producătorii de motoare de căutare şi de către Microsoft. Această măsură extremă a fost considerată necesară în urma emiterii de către companie a 22 de certificate digitale neconforme cu standardele de securitate acceptate.